­Von datenschutzrechtlichen Schadensersatzansprüchen als Nebeneinkommen

Nachdem ein Landgerichtsurteil bekannt wurde, welches einem Webseiten-Besucher einen datenschutzrechtlichen Schadensersatzanspruch wegen immaterieller Schäden (Schmerzensgeld) in Höhe von EUR 100,00 nach dem Besuch einer Webseite mit Google Webfonts zugesprochen hatte, erhalten zunehmend mehr Webseiten-Betreiber entsprechende Forderungsschreiben. Dieses Vorgehen lässt fast schon einen Gedanken ­von datenschutzrechtlichen Schadensersatzansprüchen als Nebeneinkommen aufkommen. Was ist also passiert und was ist der technische Hintergrund?

Ungefährer Inhalt des Schreibens

Im größeren Umfang begann es wohl ungefähr in Mai 2022 damit, dass Unternehmen von einer betroffenen Person Anschreiben erhielten. Diese Anschreiben weisen darauf hin, dass das angeschriebene Unternehmen Google Fonts dynamisch auf der Webseite eingebunden habe. Dadurch kam es zu einer Übermittlung der personenbezogenen Daten der betroffenen Person, konkret zumindest der IP-Adresse an Google, in die USA, welche als unsicheres Drittland gilt. Des Weiteren schreibt die betroffene Person, dass der Verantwortliche ihre vorherige Einwilligung für den Einsatz von Google Webfonts nicht eingeholt habe. – Wobei es ohnehin zweifelhaft wäre, ob ein Verantwortlicher mittels Einwilligung eine wirksame Rechtsgrundlage gemäß Art. 49 Abs 1 lit. a) DSGVO für die Datenübermittlung in ein unsicheres Drittland erhält. –

Weiterführend beruft sie sich auf ihren Anspruch auf Schadensersatz gemäß Art. 82 Abs. 1 DSGVO. Die Person stützt sich dabei auf das LG München-Urteil vom 20.01.2022 (Az.: 3 O 17493/20) und fordert die Zahlung von Schmerzensgeld in Höhe von EUR 100,00. Dabei erwähnt die betroffene Person auch, dass der Aufwand (für die Überweisung? – Dies scheint die betroffene Person nicht zu erläutern.) gering wäre und der Verantwortliche eventuelle weitere Kosten vermeiden könne. Mit weiteren Kosten sind etwaige Anwalts- und Gerichtskosten gemeint.

Dem Sachverhalt vorausgegangene Ereignisse

Seit Inkrafttreten der DSGVO am 25.05.2018 gab es Urteile, Orientierungshilfen, Leitlinien etc. der Datenschutzaufsichtsbehörden. Diesen können sowohl Einrichtungen als auch Betroffene entnehmen, welche Pflichten Verantwortliche und welche Rechte betroffene Personen gemäß der DSGVO haben. Aber warum kam der Webseiten-Besucher nun auf die Idee, solch ein Anschreiben zu verschicken?

Schrems II bzw. der Untergang des EU-US Privacy Shields

Am 16.07.2020 entschied der Europäische Gerichtshof (EuGH), dass das Datenschutzniveau in den Vereinigten Staaten von Amerika nicht dem der EU entspricht. Dies u. a. weil in den Vereinigten Staaten von Amerika eine anlasslose Massenüberwachung durch Geheimdienste erfolgt. Sich gerichtlich dagegen wehren kann der europäische Bürger nicht. Dies führte zur Feststellung der Nichtigkeit EU-US Privacy Shields durch den EuGH. Dem Urteil vorausgegangen war eine Beschwerde von Maximillian Schrems und seiner Datenschutzorganisation NOYB. Seit dem EuGH-Urteil gelten die Vereinigten Staaten von Amerika  wieder als unsicheres Drittland. Als unsichere Drittländer gemäß der DSGVO gelten Staaten außerhalb der EU ohne Angemessenheitsbeschluss. Mit einem Angemessenheitsbeschluss bestätigt die EU-Kommission, dass in einem Land ein angemessenes Datenschutzniveau besteht.

Ausführlicher gehen folgende unserer Blog-Beiträge auf die damit zusammenhängenden Themen ein:

1)     Datenübermittlung per EU-US Privacy Shield?

2)    EU-US Privacy Shield: Hilfe für Unternehmen?

3)    Standarddatenschutzklauseln: Die Lösung beim Drittlanddatentransfer?

Urteil des LG München zum Fall 3 O 17493/20 (Schadensersatz bei Einsatz von Google Webfonts)

Dem Urteil ging eine Klage einer betroffenen Person voraus. Die Klage beruhte u. a. auf dem Vorwurf der betroffenen Person, dass der Beklagte unbefugt die dynamische IP-Adresse der betroffenen Person an Google LLC, einem Unternehmen in den Vereinigten Staaten und damit einem unsicheren Drittland, übermittelt hatte. Demnach verstieß der Verantwortliche gegen mehrere Gesetze und Verordnungen. – Tief gehende und genaue Details können Interessenten hier erfahren. – Das Gericht verurteilte den Beklagten u. a. auf eine Zahlung von „[…] 100,00 € zuzüglich Zinsen hieraus in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 28.01.2021 […]“. Das Urteil bezog sich u. a. auf die EuGH-Entscheidung zu den USA als unsicheren Drittstaat.

Folge dieser Ereignisse

All die angeschriebenen Unternehmen setzten demnach Google Webfonts auf ihrer Webseite ein und übermittelten somit personenbezogenen Daten ohne Einwilligung an ein Unternehmen in einem unsicheren Drittland. Nun verlangt die betroffene Person in ihrem Anschreiben EUR 100,00. Dabei beruft sie sich u. a. auf die Ungültigkeit des EU-US Privacy Shields sowie auf das genannte Urteil des LG München und auch auf ihre Rechte gemäß der DSGVO.

Dringlichkeit bei Ausübung der Rechte durch Betroffene

Wann immer eine betroffene Person eine Einrichtung kontaktiert, um ihre Rechte gemäß Art. 15 – 22 DSGVO auszuüben, ist unverzügliches Handeln geboten. Ein Verantwortlicher ist nach Art. 12 Abs. 3 DSGVO dazu verpflichtet, dem Betroffenen innerhalb eines Monats mit den gewünschten Informationen zu antworten. Bei einschlägigen Gründen kann der Verantwortliche die Frist um weitere zwei Monate verlängern, worüber er die betroffene Person informieren muss.

Forderungswelle durch Trittbrettfahrer

In Datenschutzkreisen und aufgrund von Kontakt zu anderen Datenschutzbeauftragten und -beratern gibt es allerdings Informationen, dass mehrere Unternehmen Anschreiben mit vergleichbarem Inhalt und Ton erhalten haben sollen. Aufgrund der vermehrten Vorfälle dieser Natur entsteht der Eindruck eines systematischen und automatisierten Vorgehens. Dieser Eindruck entsteht u. a. auch daher, weil es von nur wenigen Personen auszugehen scheint. Demnach scheint ein Initiator dieser Aktion Nachahmer gefunden zu haben.

Datenschutzrechtliche Schadensersatzansprüche als Nebeneinkommen?

Alle bekannten Schreiben der betroffenen Personen haben Berichten zufolge gemeinsam, dass sie den Sachverhalt schildern, auf das oben erwähnte Urteil des LG München verweisen, ihr Recht auf Schadensersatz ansprechen und als Ausgleich EUR 100,00 fordern. Für die Überweisung des geforderten Geldbetrages wird den Unternehmen eine Frist gesetzt. Es wird jedoch nicht wie in einer anwaltlichen Abmahnung eine strafbewehrte Unterlassungserklärung oder gar die Zahlung von Anwaltskosten gefordert, sondern das Forderungsschreiben ist im Ton eines freundlichen Verbesserungshinweises gehalten.

Zahlung des Betrages als scheinbar geringeres Übel

Der geforderte Geldbetrag ist je nach Größe des angeschriebenen Unternehmens eventuell als nicht hoch einzustufen. Der Stundensatz eines Rechtsanwalts liegt wohl regelmäßig über diesem Betrag. Von daher entscheidet sich so manches Unternehmen möglicherweise dafür, diesen Betrag zu zahlen, da es den niedrigeren Betrag als den eines möglichen Verfahrens darstellt. Generell würde der Person in solch einem Verfahren eventuell auch Schadensersatz zugesprochen werden. Zumindest besteht ein Prozess- und Prozesskostenrisiko und der damit verbundene interne zeitliche Aufwand kostet dem Verantwortlichen auch Geld. Hinzukommt eventuell auch das Unwissen des Verantwortlichen darüber, dass es sich hierbei um ein systematisches Vorgehen von einigen betroffenen Personen zu handeln scheint.

Tatsächliches Interesse am Schutz der eigenen personenbezogenen Daten oder Missbrauch der Rechte einer betroffenen Person?

Am 18.01.2022 stellte der Europäische Datenschutzausschuss (EDSA) seine Leitlinien zu den Rechten von betroffenen Personen (bisher Version zur öffentlichen Konsultation) vor. Unter Punkt 6 geht der EDSA dabei auch auf Fälle ein, die Grenzen und Einschränkungen zum Auskunftsrecht darstellen. Grob zusammengefasst bestehen Grenzen und Einschränkungen auf das Auskunftsrecht darin, wenn eine Auskunftsanfrage als missbräuchlich eingeschätzt werden kann. Ein Verantwortlicher kann demnach einen Missbrauch von Betroffenenrechten u. a. (nicht auf die folgenden Beispiele begrenzt) vermuten, wenn …

1)     … für eine Gegenleistung auf eine Auskunft verzichtet wird oder

2)    … eine betroffene Person Auskunftsanfragen sendet, um dem Verantwortlichen Schaden zuzufügen.

Nun handelt es sich bei der Schadensersatzforderung nicht um eine Auskunftsanfrage. Überträgt man diesen Gedanken des Rechtsmissbrauchs aber auf den Fall des Schadensersatzanspruches, stellt sich die Frage, ob die Betroffenen hier tatsächlich einen Schaden aufgrund der Übermittlung mindestens ihrer IP-Adresse in ein unsicheres Drittland erlitten haben und zu recht einen Ausgleich dafür verlangen.

Dieser Gedanke drängt sich dadurch auf, dass jede einzelne dieser betroffenen Personen das gleiche Anschreiben an mehrere Verantwortliche versandt hat. Jedoch sieht die Schadensersatzregelung in der DSGVO anders als beim Auskunftsanspruch nicht die Möglichkeit eines Missbrauchseinwandes vor. Es besteht also eine rechtliche Unsicherheit, ob ein Verantwortlicher mit diesem Gegenargument (Einwand) vor Gericht durchkommen würde. Wahrscheinlich könnte er mit einem Einwand gegen den Schaden Erfolg haben. Das LG München jedoch sah den Kontrollverlust über die eigenen Daten, die in den Vereinigten Staaten von Amerika u. a. für Werbezwecke und zur Erstellung von Marketing-Profiling genutzt würden, eine erhebliche Beeinträchtigung und somit eine Verletzung der Datenschutzgrundreche der betroffenen Person und sprach Schadensersatz zu.

Negative Folgen für aufrichtig interessierte betroffene Personen

Die negativen Folgen der Aktion der Schadensersatz fordernden Personen könnte allerdings sein, dass andere betroffene Personen, die aufrichtig an der datenschutzkonformen Verarbeitung ihrer personenbezogenen Daten Interesse haben, keine Beachtung finden. Ernst zu nehmen sind jedoch alle betroffene Personen, die von ihren Rechten gemäß Kapitel 3 DSGVO Gebrauch machen. So auch, wenn ein Verantwortlicher möglicherweise das Gefühl hat, eine Kontaktaufnahme einer betroffenen Person könnte andere Grundziele haben.

Bisheriger Fokus auf Google Webfonts

Bisher fokussieren sich die betroffenen Personen auf dynamisch eingebundene Google Webfonts von Google LLC. Diese lassen sich leicht für jeden Webseiten-Besucher feststellen und verfolgen. Oftmals setzen Webseitenbetreiber aber eventuell sogar auch Dienste von anderen oder weiteren Anbietern in unsicheren Drittländern ein. Folglich stellt sich die Frage, wann und ob eine dieser betroffenen Personen den Einsatz etwaiger anderer Dienste aus unsicheren Drittstaaten erkennen und ebenfalls Schadensersatz erfolgreich vor Gericht geltend machen. Sie können sich, da die Webseite ja überall abgerufen werden kann, wiederum an das LG München wenden (sogenannter fliegender Gerichtsstand).

Handlungsempfehlungen

Ganz gleich, ob ein Verantwortlicher solch ein Schreiben erhalten hat, empfehlen wir dringend und umgehend die Überprüfung der eigenen Webseite auf etwaige Dienste von Drittanbietern aus unsicheren Drittländern. Beispiele für solche Dienste sind Google Maps, YouTube etc. Diese Dienste sollte ein Verantwortlicher abschalten oder sich zumindest mit einer zwischengeschalteten Datenschutzeinwilligungsseite soweit wie möglich absichern. Selbst wenn ein Verantwortlicher den Einsatz solcher Dienste schon mal abgestellt hat, ist es möglich, dass sie sich durch Aktualisierungen von beispielsweise der Webseite automatisch und unbemerkt wieder aktiviert haben.

Eine weitere Empfehlung ist die Überprüfung der Möglichkeit, Dienste lokal, beispielsweise auf dem hausinternen, eigenen Server oder beim Webhoster, zu speichern. Somit kann ein Verantwortlicher die Übermittlung personenbezogener Daten in ein unsicheres Drittland unterbinden. Ist es nicht möglich, den unberechtigten Zugriff auf personenbezogene Daten durch Dienste in unsicheren Drittländern abzustellen, ist es empfehlenswert, alternative Dienste in der EU oder in Ländern mit einem Angemessenheitsbeschluss einzusetzen. – Auf mögliche Alternativen gehen wir in diesem Beitrag ein. –

Fazit

Diese Anschreiben zeigen deutlich, dass betroffene Personen sich ihrer Rechte gemäß der DSGVO bewusst sind und von diesen Gebrauch machen. Umso wichtiger ist es, die Anforderungen der DSGVO in Ihrer Einrichtung, in Ihrem Unternehmen etc. umzusetzen. Wir können Sie bei der Erstellung von Datenschutzhinweisen, dem Verzeichnis von Verarbeitungstätigkeiten, Prüfung und Erstellung von datenschutzrechtlichen Verträgen, datenschutzkonformen Gestaltung von Prozessen etc. unterstützen und beraten. – In unserem Beitrag „Den Einstieg in den Datenschutz meistern“ erfahren Sie mehr zu den Bereichen, bei denen wir Sie u. a. unterstützen können. – Auch können wir externe Datenschutzbeauftragte stellen. – Hier können Sie gern nachlesen, welche Vorteile Ihnen ein externer Datenschutzbeauftragter bringen kann. –

Kontaktieren Sie uns also am besten heute für ein unverbindliches Angebot.